Cómo incluir en la lista blanca el escáner de vulnerabilidades de IPS /Vulnerability

Cómo incluir en la lista blanca el escáner de vulnerabilidades de IPS /Vulnerability

40597
Created On 03/19/20 18:49 PM - Last Modified 02/09/23 18:56 PM


Objective


Los analizadores de vulnerabilidades como Qualys y Rapid 7 se utilizan con frecuencia para identificar vulnerabilidades en PA firewalls, así como en los recursos detrás de los Firewalls para el cumplimiento.El tráfico de estos escáneres crea una cantidad abrumadora de registros de amenazas, en su mayoría falsos positivos. Este documento cubre los pasos de configuración para permitir de forma segura la exploración de vulnerabilidades de los recursos detrás de la firewall superficie de amenazas durante un tiempo limitado y reducir la superficie de amenaza al no exponer los servicios estándar.

Environment


  • Escáneres de vulnerabilidad como Qualys, Rapid 7, Nessus u otro.
  • Servidores web u otros recursos detrás del Firewall archivo .
  • PAN-OS 8.0.x y superior

Procedure


Simplemente puede agregar una excepción de amenaza y crear una nueva policy para el tráfico del escáner. Esta solución es la más adecuada cuando un análisis de vulnerabilidades se realiza solo una o dos veces al año. 

1. Cree una nueva seguridad policy y un nuevo perfil de seguridad con una amenaza, spyware y excepciones antivirus.
  • Supongamos que está ejecutando el escáner desde su LAN archivo .
  • Haz una lista de la amenaza ID y spyware que se activó durante el análisis.
  • Cree un nuevo perfil de amenaza en > de protección de vulnerabilidades > objetos y agregue la excepción para todos los <name such="" as="" profile_for_qualys="">identificadores de amenaza que se desencadenaron.</name> En la excepción, cambie la acción según lo permita.
  • Ahora cree una nueva seguridad Policy que permita al escáner tener acceso IP desde/hacia sus LAN seguidores.
    • Nombre: Algún nombre útil, como permitir el escáner
    • Pestaña Zona de origen: zona a la que pertenece el escáner.
    • Ficha Dirección de origen: dirección del escáner IP
    • Pestaña Destino: Zona de destino
    • Servicio/ URL Categoría pestaña: ANY y pestaña Acción: permitir.
    • Configuración de perfil de > de la pestaña de acción: puede dejarla vacía o usar los perfiles recién creados todas las excepciones.
    • Ahora coloque la nueva seguridad Policy (en este caso permitir para el escáner) por encima de la seguridad policy antes del otro tráfico en esa policy zona. Asegúrese de que cuando el escáner envía el tráfico, este es el primero policy que coincide.
2. Excepción de protección de reconocimiento:
  • En caso de que el escáner también esté ejecutando el reconocimiento y desee permitirlo, por favor incluya en la lista blanca del escáner IP la protección de reconocimiento.
  • Esta configuración se puede realizar en network >Zone Protection >Zone Protection Profile >Reconnaissance Protection >Source Address Exclusion >Add
  • La lista admite un máximo de 20 direcciones u objetos de IP dirección de máscara de red.

Additional Information


 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PPAiCAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language